linux内核启动时从加密分区挂载文件系统,如何操作?

linux内核启动时从加密分区挂载文件系统,如何操作?

我的sd卡有两个分区,一个是启动分区,另一个是文件系统分区,现在我使用linux工具cryptsetup加密文件系统分区,当我在主板上启动时,内核无法挂载文件系统(加密),我的目的是保护整个文件系统,也许三个分区可以实现,如果我只有两个分区,是否可以实现?需要修改内核源吗?

答案1

您没有告知您使用的发行版,这会产生影响。在 Linux 下,使用 2 个分区进行“全盘”加密绝对是可能的,而且我知道 Ubuntu 也可以做到。(不确定默认安装是否支持,我认为支持,否则您可以获得支持该功能的备用磁盘)。我想 Fedora 或 CentOS 也有一个 Spin。

实现此目的的机制如下:

  1. 创建(或让系统为您创建)2 个分区,一个小型“启动”分区,通常约 200 MB,以及一个大型加密分区。(您需要确定是否需要额外的交换分区,或者是否要使用 LVM 或文件加密安装交换分区 - 每种方法都有优势,但为了安全起见,您需要牺牲性能并将其安装在加密分区上)

  2. 您的操作系统会将启动所需的最少内容放​​在启动分区(通常是 /boot)上。虽然这是未加密的,但它只包含“库存文件”。

  3. 然后,安装通常会构建/重新创建一个初始 ramdisk (initrd),其中包括提示输入密码、解密系统和以 root 身份重新挂载所需的文件和命令。

相关内容